Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018 do 31.10.2025.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx dat (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. x) xx x) a x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx souvisejících xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx jen "xxxxx"):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxx systém kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, informační systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx nebo xxx xxxxxxxxxxxxxx komunikací, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "informační x xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x xxxxxx bezpečnostních xxxxxxxx,
x) typy, kategorie x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx pojmů
Pro účely xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx orgán xxxx xxxxx, které xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx podle xxxxxx, (xxxx jen "povinná xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které určují xxxxxx zajištění xxxxxxx xxxxx,
x) hodnocením rizik xxxxxxx proces xxxxxxxxxxxx, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické bezpečnostní xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, rozvoji, xxxxxx nebo bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o riziku x sledování x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx systému řízení xxxxxxx osoby xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx bezpečnosti informací x xxx,
x) xxxxxxxxxx xxxxxxx takové xxxxxxxxx xxxxxxxx, komunikační prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a objekty, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx xxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxx, které řídí xxxxxxxx osobu, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") a xxxxx, kdo s xxxxxxxx osobou vstupuje xx xxxxxxxx xxxxxx, xxxxx xx xxxxxxxx x hlediska xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která má xxxx xxxx xxx xxxx xx kybernetickou xxxxxxxxxx x představuje xxxxxx riziko,
p) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx slabé místo xxxxxxxxxxxxxx opatření, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém řízení xxxxxxxxxxx informací
Povinná osoba x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxx x organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xx kterém xxxx xxxxxxxxxxx xxxxx a xxxxxx, jichž se xxxxxx řízení bezpečnosti xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xx základě cílů xxxxxxx řízení bezpečnosti xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) vytvoří x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která obsahuje xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, práva x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx základě xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
f) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
g) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x dopadů xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a následně xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx do xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx zjištění xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx provoz x xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx informací a xxxxxxx xxxxx.
§4
Xxxxxx aktiv
(1) Xxxxxxx xxxxx x rámci xxxxxx aktiv
a) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx xxxxxxxxx aktiv xxxxxxx v rozsahu xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) určí x xxxxxxx garanty xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x xxxxxx xx do xxxxxxxxxxxx úrovní podle xxxxxxx x),
x) xxxx x eviduje xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx aktiva a xxxxxxxxxx přitom zejména xxxxxxxx závislosti xxxxx xxxxxxx x),
x) xx xxxxxxx hodnocení aktiv xxxxxxxxx x xxxxxx xxxxxxxx ochrany nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx používání xxxxx x pravidla xxx xxxxxxxxxx x xxxxxx x xxxxxxx xx úroveň xxxxx, xxxxxx pravidel xxx xxxxxxxx xxxxxxxxxxxx sdílení x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich kopií xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx xx úroveň xxxxx x souladu x přílohou č. 4 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx jiných xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx a kontrolních xxxxxxxx,
x) poškození veřejných, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx ztráty,
e) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx xxxxxxxx,
x) xxxxxx xx xxxxxxxxx dobrého xxxxx xxxx ochranu xxxxx xxxxxxx,
x) dopady xx bezpečnost a xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) dopady xx xxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§5
Řízení xxxxx
(1) Povinná xxxxx x rámci xxxxxx xxxxx v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx zohlední relevantní xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx xx aktiva; xxxx xxxxxx xxxxxxx xxxxxxx v xxxxxxx přílohy č. 2 k xxxx xxxxxxxx,
x) zpracuje zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxx xxxxxxxxx, která
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx rizik, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro zvládání xxxxxxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x informační zdroje, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x v xxxxx xxxxxxxx xxxxx xxxxxxxx
1. významné xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx s xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx osoba uvedená x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx alespoň xxxxxx za tři xxxx.
(3) Xxxxxx rizik xxxx xxx zajištěno x xxxxxx způsoby, xxx xxx xx xxxxxxxxx x odstavci 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, že použitá xxxxxxxx zajistí xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx rizik.
§6
Xxxxxxxxxxx bezpečnost
(1) Povinná xxxxx x xxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx bezpečnostní xxxxxxxx x cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxx osoby,
c) xxxxxxx xxxxxxxxxx zdrojů xxxxxxxxxx xxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a xxxxxxx dosažení shody x xxxx xxxxxxxxx xx všemi dotčenými xxxxxxxx,
x) xxxxxxx xxxxxxx x dosažení xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické bezpečnosti x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) zajistí, xxx byla xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní role xxxxxxx xxxxxxxxx pravomoci x xxxxxx xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx xxxxxx xxxx x xxxxxx xxxxxxxxxxxxx xxxxx x
x) zajistí xxxxxxxxx xxxxx kontinuity xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx xx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxxxxxxxx xxxx x jejich xxxxx a xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), x) x x) xxxxxx xxxx xxxxx, xxxxx bude xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxx a
d) xxxxxxxx kybernetické xxxxxxxxxxx.
(4) Xxxxxxx osoba uvedená x §3 písm. x) xxxxxx určí xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx a garanta xxxxxx. Ostatní xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x xxxxxxx x potřebám xxxxxxx xxxxxx bezpečnosti informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 písm. a) x x).
(6) Xxxxxxx xxxxx xxxxxxx v §3 písm. x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx řízení x xxxxxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx xxxx xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxx pověřená xxxxx a xxxxxxx xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx x výboru xxx řízení kybernetické xxxxxxxxxxx přihlédne k xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx odpovědná xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxx kybernetické xxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx
1. xx xxxx nejméně xxx xxx, nebo
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. činnostech xxxxxxxxxxxxx z rozsahu xxxx odpovědnosti x
2. xxxxx systému řízení xxxxxxxxxxx informací x
x) xxxxx xxx pověřen xxxxxxx xxxx odpovědných xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx bezpečnostní xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, která je xxx tuto činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx architektury xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx let, xxxx
x) xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně tří xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx absolvovala studium xx xxxxxx xxxxx,
x) xxxxxxxx, že xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, a
c) xxxxx být xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx osoba xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxxx k doporučením xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Xxxxxxx xxxxx
x) xxxxxxx pravidla xxx xxxxxxxxxx, která xxxxxxxxxx požadavky systému xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx dodavatelů,
c) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx s xxxxxxxx xxxxx písmene x) a vyžaduje xxxxxx těchto xxxxxxxx,
x) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,
x) v xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx zajistí, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 7 x této xxxxxxxx, x
x) pravidelně přezkoumává xxxxxx xxxxx s xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxxxx xxxxx x významných xxxxxxxxxx xxxx
x) x xxxxx výběrového řízení x xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx přiměřeně podle přílohy č. 2 x xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx zavedení x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) provádí pravidelné xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů nebo xxxxxx xxxxx xxxxxx x
x) v xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx podle xxxxxxxx 1 písm. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx dodavatele,
d) xxxxxxxxxx x skutečnosti, xx xxxxxxxxx je pro xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx také x xxx, xx xxxxxxxx dodavatel xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Povinná xxxxx xxxxxxx v §3 xxxx. x) až x) zákona, xxxxx xx provozovatelem a xxxx xxxxxxxxxxxx informována xxxxx odstavce 1 xxxx. x), hlásí xxxxxxxxx údaje xxxxxx xxxxxxxx v §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx osoba v xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) x xxxxxxx na xxxx x potřeby xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx povědomí, jehož xxxxx je xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx povědomí x který xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx uživatelů, xxxxxxxxxxxxxx, osob zastávajících xxxxxxxxxxxx xxxx x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x dodavatelů o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx potřeb xxxxxxx xxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx,
x) v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx s xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, administrátorů x xxxx zastávajících bezpečnostní xxxx,
x) v xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x administrátory x xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, provedených xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx stanovených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx.
(2) Povinná xxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x seznam osob, xxxxx xxxxxxx absolvovaly.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x stanoví xxxxxxxx xxxxxxxx x xxxxxxx, které xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, uživatelů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx spuštění a xxxxxxxx chodu xxxxxxx, xxx restart xxxx xxxxxxxx xxxxx xxxxxxx xx selhání x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x opatření xxx xxxxxxx přístupu x záznamům o xxxxxx xxxxxxxxxx,
x) pravidla x xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, které xxxx xxxxxxxx výkonem xxxxxxxxx a xxxxxxxxx xxxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx a postupy xxx xxxxxxx xxxxxxxxx x xxx x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) pravidla x xxxxxxx xxx instalaci xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx zálohování x xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx x
x) pravidla x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx stanovené xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx s prováděnými xxxx plánovanými změnami.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx prostředí.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává xxxxx xxxxxx xxxx x
x) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx rizik,
c) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx testování x
x) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xx xxxxxxx xxxxxxxx analýzy xxxxx xxxxx xxxxxxxx 2 xxxx. b) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx x provedení xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 x reaguje xx zjištěné nedostatky.
(4) Xxxxxxx xxxxx uvedená x §3 písm. x) zákona xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx údajů, které xxxx xxxxxxxxx pro xxxxxxxxxx podle §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx xxxx x xxxxx řízení xxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx na xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x administrátorovi přistupujícímu x informačnímu x xxxxxxxxxxxxx xxxxxxx přístupová xxxxx x oprávnění x xxxxxxxxx identifikátor,
c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxxxx xxxxxxxx x technických xxxx,
x) xxxxxx bezpečnostní xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx používání xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx povinná osoba xxxx ve xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx oprávnění xx xxxxxx xxxxxxxx nutnou x xxxxxx xxxxxx xxxxx,
x) omezí x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, xxxxx xxxxx xxx schopné překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx veškerých xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx xx přístupových xxxxxx x xxxx,
x) využívá xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 x xxxxxxx pro řízení xxxxxxxxxxxx oprávnění xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx přístupových xxxxxxxxx.
§13
Xxxxxxxx, vývoj x xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx s plánovanou xxxxxxxx, vývojem a xxxxxxx informačního x xxxxxxxxxxxxx systému
a) řídí xxxxxx xxxxx §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
c) stanoví xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, vývoje x údržby,
e) xxxxxxx xxxxxxxxxx vývojového x xxxxxxxxxxx prostředí a xxxxxxx ochranu používaných xxxxxxxxxxx dat,
f) provádí xxxxxxxxxxxx xxxxxxxxx významných xxxx před jejich xxxxxxxxx xx xxxxxxx x
x) xxxx požadavek xxxxx §19 odst. 3, xx-xx cílem xxxxxxxxx akvizice nebo xxxxxx nástroj xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx proces xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx xxxx §22 x 23,
f) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, další xxxxxxxxxxx a dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxx kterém xxxx xxx xxxxxxxxxx, xxx xxxx xxx klasifikovány xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
k) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x o jejich xxxxxxxx,
x) prošetří a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx řešeného kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 písm. x), x) x f) xxxxxx dále při xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Řízení xxxxxxxxxx činností
Povinná xxxxx x rámci xxxxxx kontinuity činností
a) xxxxxxx práva a xxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx vyhodnotí x xxxxxxxxxxx možné dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx činností,
c) xx základě xxxxxxx xxxxxxxxx rizik a xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která je xxxxxxxxxx xxx xxxxxxx, xxxxxx x správu xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) stanoví xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x),
x) xxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx s xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx a
f) xxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx tom z xxxxxxxxx podle §27.
§16
Audit kybernetické xxxxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx xxxxxxxxx shody, x xxxxxxxx xxxxxx xxxxxxxx v plánu xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx xxxxxxxx xxxxx x
x) posuzuje xxxxxx bezpečnostních opatření x xxxxxxxx praxí, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x určí xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 xx xxxxxxxx
x) xxx xxxxxxxxxx změnách, x xxxxx xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 3 xxxxxx v xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 2 xxxxxx v xxxxxxx xxxxxxx xxxxx xxxxxxxxx x písmenu x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx xxxxx x xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) x xxxxx xxxxxxx, xx xxxxx audit provádět xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx xx xxxxx xxxxx v celém xxxxxxx xxxxxxx xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx správnost x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, předkládá xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx daného xxxxxxxxxxxx a komunikačního xxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x fyzického bezpečnostního xxxxxxxxx stanoveného podle xxxxxxx b) xxxxxx xxxxxxxx opatření x xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx ochrany xx xxxxxx objektů x x rámci xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx v rozsahu xxxxx §3 xxxx. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, vzdálené xxxxxx xxxx při xxxxxxxx do komunikační xxxx pomocí bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx a
e) xxx xxxxxxxxx xxxxxxxxxx xxxx a xxx xxxxxx xxxxxxxxxx xxxx xxxxxx segmenty xxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx komunikační xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx a xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x aplikací informačního x komunikačního systému.
(2) Xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx v informačním x xxxxxxxxxxxx systému,
b) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx formě xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx identity xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx xxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx xxxx xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx účtu a xxxxx, nýbrž na xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx různými xxxx xxxxxxx.
(4) Do xxxx xxxxxxx požadavku xxxxx xxxxxxxx 3 xxxx nástroj pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx autentizaci xxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxx úroveň xxxxxxxxxxx.
(5) Do xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 nebo 4 xxxx xxxxxxx xxx ověření identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx alespoň
1. 12 xxxxx u xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) umožňující xxxxx xxxxx x xxxxx xxxxxxx 64 znaků,
c) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx písmen, xxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, přičemž xxxxxx xxxx xxxxx xxxxxxx hesla xxxxx xxx xxxxxx xxx 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx a administrátorům
1. xxxxxx xx nejčastěji xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx způsobem x
3. opětovné xxxxxxx xxxxx xxxxxxxxxxx xxxxx x pamětí xxxxxxx 12 předchozích xxxxx x
x) xxx povinnou xxxxx hesla x xxxxxxxxx xxxxxxxxx po 18 xxxxxxxx, přičemž xxxx pravidlo xx xxxxxxxxxx xx xxxx xxxxxxxx x xxxxxx xxxxxxx x xxxxxxx xxxxxxx.
(6) Xxxxxxx osoba x případě xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x heslem xxxx
x) xxxxxx bezodkladnou změnu xxxxxxxxx xxxxx xx xxxx prvním xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x obnovení xxxxxxxx po jeho xxxxxx xxxxxxx nebo xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx pravidla xxxxxx xxxxxxxxxx xxxxx xx xxxxx rozvoje bezpečnostního xxxxxxxx xxxxx §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx aktivům informačního x xxxxxxxxxxxxx xxxxxxx x
x) xxx čtení xxx, xxxxx xxx x xxxxx oprávnění.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx x rámci xxxxxxx xxxx škodlivým kódem
a) x ohledem xx xxxxxxxxxx aktiv zajišťuje xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx a výměnných xxxxxxxx xxxxxx,
5. komunikační xxxx x prvků xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx a
e) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před xxxxxxxxx xxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx podle odstavce 1 xxxxxxxxx.
§22
Zaznamenávání událostí informačního x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx rozsah xxxxx, x kterých je xxxxxxxxxxxxx bezpečnostních a xxxxxxxxxx událostí xxxxxxxxx.
(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx xxxxxxx, který xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx informací x bezpečnostních a xxxxxxxxxx událostech; xxxxxxx xxxxxxxxxxx
1. xxxxx a xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, které činnost xxxxxxxxxxx,
4. jednoznačnou xxxxxxxxxxxx xxxx, pod kterým xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx síťovou identifikaci xxxxxxxx xxxxxxx a
6. xxxxxxxxx nebo neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx písmen x) a x) xxxx xxxxxxxxxxxx čtením x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. xxxxxxxxxxxx a xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx neúspěšných pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx i neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx a právy,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických xxxxx,
7. xxxxxxxxxx i xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx x xxxxxxxx x xxxxxxxxxx, xxxxxx x manipulaci xx xxxxxxx o xxxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí a
e) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 nejméně xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx xx dobu 12 xxxxxx.
§23
Detekce kybernetických bezpečnostních xxxxxxxx
(1) Xxxxxxx osoba x xxxxx komunikační xxxx, xxxxx xxxxxxxx xx informační x xxxxxxxxxxx systém, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx
x) ověření x xxxxxxxx xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx sítě x xxxx komunikačními xxxxxx,
x) xxxxxxx a kontrolu xxxxxxxxxxx xxx na xxxxxxxxx komunikační xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. x), d) x x) zákona xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx x xxxxx
x) koncových xxxxxx,
x) xxxxxxxxx zařízení,
c) serverů,
d) xxxxxxxx úložišť x xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx xxxxxxxxx prvků x
x) obdobných xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
Povinná xxxxx xxxxxxx x §3 xxxx. c), x) x f) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) sběr x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx záznamů,
c) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x detekovaných kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx xxxxxxx penetrační xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx jejich xxxxxxxx xx provozu a
b) x xxxxxxxxxxx x xxxxxxxxx xxxxxx podle §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx platnosti, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x komunikačního systému xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx mohly xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx nezbytných xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxx, které jsou xxxxxx do xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx komunikační xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx pro tyto xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx vzdáleného přístupu x xxxxx xxxxxxxx,
x) xxxxxxx jednotlivých technických xxxxx xxxxxx xxxxxxx xxxx využitím známých xxxxxxxxxxxxx x
x) obnovení xxxxx xxxxxx systémů xx xxxxxxxxxxxxx bezpečnostním xxxxxxxxx.
§29
Digitální služby
(1) Povinná xxxxx xxxxxxx v §3 písm. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx se xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx parlamentu x Rady (XX) 2016/1148, xxxxx xxx x bližší xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx sítě x informační xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx dopad xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx povinnou xxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
HLAVA III
BEZPEČNOSTNÍ POLITIKA X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx bezpečnostní politiku x vede bezpečnostní xxxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx v příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx x
x) zajistí, xxx xxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx v xxxxx xxxxxxx osoby,
c) xxxxxxxxx xxxxxxxx xxxxxxxx stranám,
d) xxxxxx,
x) chráněny z xxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti a
f) xxxxxx tak, xxx xxxxxxxxx x xxxx xxxxxxxx xxxx úplné, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x dopadových xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) počtu xxxxxxxxx uživatelů,
c) způsobené xxxx předpokládané xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx služby xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Pro xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xx xx základě xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické bezpečnostní xxxxxxxxx xxxxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx přímo x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x tím, xx musí xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx zabráněno xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx I - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní incident, xxx xxxxxx dochází x méně významnému xxxxxxxx xxxxxxxxxxx poskytovaných xxxxxx nebo xxxxx. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx x xxx, že xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx kybernetické xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Xxxxx xxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Úřadu xxxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, nebo
c) prostřednictvím xxxxxxxx rozhraní, pokud xx používáno, xxxxx xxxxx xx xxxxxxxxx xx internetových stránkách Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty xxxxxxxxxxxxx národního CERT xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách,
b) xx xxxxxx schránky xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Náležitosti hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
c) xxxxx x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Povinná osoba, xxxxx Úřad uložil xxxxxxx reaktivní opatření,
a) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x vyhodnotí xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx způsob xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx uložil xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx provedení reaktivního xxxxxxxx x xxxx xxxxxxxx xx xxxxx xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx xx Xxxxx xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx je xxxxxxxxx, jehož popis xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx údaje xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX zaslaném
a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) prostřednictvím internetových xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxx xxxxx xx xxxxx xxxxxx x x xxxxxxxx podobě, avšak xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx oznámení kontaktních xxxxx xx uveden x příloze č. 8 x xxxx vyhlášce.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. c).
XXXX PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx systémů kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, které xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, x x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx této xxxxxxxx, xx do xxxxxxx xxxx xxx xxx xxxxxx účinnosti této xxxxxxxx xxx obsah x xxxxxxxxx bezpečnostní xxxxxxxxxxx a obsah x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx bezpečnosti).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx byly xxxxxx přede xxxx xxxxxx xxxxxxxxx této xxxxxxxx, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, x kterých xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx nabytí xxxxxxxxx xxxx vyhlášky, se xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx vyhláška xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x oblasti kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx vyhláška nabývá xxxxxxxxx xxxx vyhlášení.
Ředitel:
Ing. Xxxxxxxx v. x.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx x xxxxx xxxxxxx použity xxxxxxxx o xxxxxxx xxxxxxxx x posuzuje xx, xxxx xxxxx xx mělo narušení xxxxxxxxxxx informací u xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení důležitosti xxxxx, xxx jaký xx uveden v xxxx příloze, dodrží-li xxxxxxxxxxx vazby xxxx xxxx xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, které xxxx uvedeny v xxxx příloze.
(2) Je xxxxxxxxxx, xxx si xxxxx xxxxxxx xxxxx xxxx dopadové xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx xxxx určena xx zveřejnění. Narušení xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx stranami x xxxxxxx klasifikace xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (dále xxx "XXX") xx využíváno xxxxxxxx TLP:WHITE. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxxx osoby, ochrana xxxxx xxxx vyžadována xxxxxx právním xxxxxxxxx xxxx xxxxxxxx ujednáním. V xxxxxxx sdílení takového xxxxxx x třetími xxxxxxxx x použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx TLP:GREEN xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou veřejně xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx takového xxxxxx s třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx jsou využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Kritická |
Aktiva xxxxxx xxxxxxx přístupná a xxxxxxxx nadstandardní xxxx xxxxxxx nad xxxxx xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx stranami x xxxxxxx klasifikace xxxxx XXX je využíváno xxxxxxx xxxxxxxx TLP:RED xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, které zajistí xxxxxx x zaznamenávání xxxxxxxx. Xxxx metody xxxxxxx xxxxxxxxxxx zneužití xxxxx xx strany xxxxxxxxxxxxxx. Přenosy informací xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx se xxxxxxxx méně závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány xxxxxxxxxx xxxxxxxx (například omezení xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity aktiva xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x podstatnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a zaznamenat xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx integrity xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx kryptografických prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxx x xxxxx vážnému poškození xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxx x velmi xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné identifikace xxxxx provádějící xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx pro hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx běžně xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo překročit xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány běžné xxxxxx zálohování a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx překročit xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx ohrožení oprávněných xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx velmi důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x řádu několika xxxxx) xxxx k xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy x xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx nezbytnou součástí xxxxxxxx pro xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, kterou xxxxxxxxx xxxxx, hrozba a xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx lze xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx je x xxxxx xxxxxxx odvozen x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx využívá metodu xxx hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx schopnosti rozlišení xxxxxx hrozby x xxxxxxxxxxxxx. Za xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň zranitelnosti. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx jiný xxxxx xxxxxx pro hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx málo xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx málo pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx pravděpodobná. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxx xxxxxxx včas xxxxxxxxx možné xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, xxx xxxxxx xxxxxxxx nepokrývá xxxxxxx xxxxxxxx xxxxxxx x xxxx pravidelně xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx realizována xxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je považováno xx akceptovatelné. |
|
Střední |
Riziko xxxx xxx sníženo xxxx xxxxxxxxx opatřeními nebo x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxx xxxxxxxxxxx a xxxx být xxxxxxxx xxxxxxxxxxxx kroky k xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Sb.
Zranitelnosti a xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. zastaralost informačního x xxxxxxxxxxxxx systému,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. nedostatečné xxxxxxxxxxxx xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx nevhodné nebo xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx vymezení práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx uživatelů a xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického anebo xxxxxxxxxxxx vybavení,
3. xxxxxxxx xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx modifikace údajů,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx aktiva,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. pochybení xx strany xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx služeb elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx technik,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Xxxxxxx x. 4 x vyhlášce x. 82/2018 Sb.
Likvidace xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxxxxx způsobů xxxxxx xxx a xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému si xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x souladu x touto xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx mazání dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, vzhledem x xxxxxxx a xxxxxxxxxxx xxxxx.
(3) Pravidla xxx xxxxxxxxx dat xx xxxx být xxxxxxxxx přiměřeně xxxxxxx x xxxxxxxxxxx xxxxx x xxxx by xxxxxxx zohledňovat
a) hodnotu xxxxxx (zejména z xxxxxxx xxxxxxxxxx),
x) technologii (xxxx a xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx kontrolou xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx likvidaci dat xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx nosičů,
h) zda xx x xxxxxxxxx xxxxxxxxx personál,
i) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx a xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu xxxxxx xxxxxxxxx (například xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx ze xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx dat xxx, xxx byla pro xxxxxx xxxxxxxxxx (například xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx tištěného dokumentu xx xxxxxx).
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxx s xxxxxxxxxxx xxxxxxxx xxxxx informace xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx xxx xxxxxx digitálních dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti aktiva (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx obnovení přepsaných xxxxxxxxx.
3. Xxxxxxxx xxxx xxx nahrazeno xxxx xxxxxxxxxxx xxxxxxxxx likvidací xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, případně pro xxxxx s velkou xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): nízká xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Jde x nejbezpečnější metodu xxxxxxxxx dat. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx nelze znovu xxxxxx xxx xxxxxxx xxxx. Xxxxxxx xxxxxxxxx xxxx možné obnovit xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x úsilí.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx úrovně důvěrnosti xxxxxx (vychází z přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxxxx důležitosti xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Kritická |
|
|
Informace xx lidsky xxxxxxxx xxxxxx (tištěné xxxxxxxxx, xxxxxxxx a podobně) |
Odstranění: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Disk Drive]) |
Odstranění: |
Přepsání: |
|||
|
Xxxxxxx média (CD, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx x cloud |
Přípustný xxxxxx likvidace xxx xx měl xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Přepsání: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Alternativně x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx možné xxxx po xxxxxxxx xxxxxx přepsat. |
|||||
Xxxxxxx x. 5 x xxxxxxxx č. 82/2018 Sb.
Obsah bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací
a) Xxxx, xxxxxxxx a potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a hranice xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx přezkoumání systému xxxxxx xxxxxxxxxxx informací.
g) Xxxxxxxx x xxxxxxx xxx nápravná opatření x xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních aktiv
1. xxxxxx x evidence xxxxxxxxxxxx primárních xxxxx xxxxxx určení jejich xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. určení x xxxxxxxx jednotlivých xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx garanta,
2. xxxxxx vazeb mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého xxxxxx xxxx xxxxxx technických xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx xxxxx.
1.3. Politika xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x dodavateli.
c) Xxxxxxxxxxx smlouvy x xxxxxx xxxxxx x xxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx pro provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. způsoby x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx a xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Bezpečnostní xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxxxx xxxxxx.
1.6. Politika xxxxxx xxxxxxx x komunikací
a) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Postupy xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxxxx xxxxx.
1.7. Politika xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx na xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx oprávnění xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Pravidla xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx xx sociálních xxxxxx.
x) Xxxxxxxxxx xx vztahu x mobilním xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx na xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx bezpečného zálohování x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
f) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx přístupu x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny xxxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx předávaných xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx zranitelností
a) Xxxxxxxx xxx omezení xxxxxxxxx programového xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx
x) Pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx správě.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Bezpečnostní xxxxxxxxx xxx xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x informací
1. xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx za bezpečný xxxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx sítě.
d) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Pravidla x postupy xxx xxxxxxxxxxxx sítě x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxx komunikace.
b) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx a xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx ochrany s xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Politika xxxxxx změn
a) Xxxxxx x principy řízení xxxxxxxxxx xxxx v xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, informačních x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů významných xxxx.
x) Xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Politika xxxxxxxx kybernetických bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx řízení xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx pro naplnění xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx incidentů na xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity x xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx kybernetické xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx a místo, xxx xxxx xxxxxxxxx xxxxxxxx při auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx bezpečnosti.
2.2. Xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů systému xxxxxx bezpečnosti informací.
d) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x xxxxxxxxx aktiv x pro xxxxxxxxx xxxxx
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, integrity a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. xxxxxx vazeb xxxx primárními x xxxxxxxxxx xxxxxx.
x) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. návrh xxxxxxxx x jejich xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx xxxxxxxxx xxxxxx zdůvodnění, xxxx xxxxxx aplikována.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx xxxxxxxxxxxx.
2.6. Plán xxxxxxxx xxxxx
x) Obsah x xxxx vybraných xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik xxxxxx xxxxx xx konkrétní xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx zvládání xxxxx.
x) Osoby xxxxxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx povědomí
a) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Obsah a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, které xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx plánu.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Záznamy o xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx právních předpisů, xxxxxxxxx předpisů x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x jiných xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Další xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx zařízení.
Xxxxxxx x. 6 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx obsahuje xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx uvedené x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxx xxxxxxx osoby. |
|
Xxxxx podmínky: |
a) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx alespoň |
Xxx. 2: Manažer xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v oboru xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Information Xxxxxxx Security Professional (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Role není xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a x xxxxxxx provozními xx xxxxxxxx xxxxxx. |
Tab. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura xxxxxxxxxxxx x komunikačních xxxxxxx x xxxx xxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Hacker (XXX), CompTIA Security +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Manager (XXXX), Xxxxxxxxx xx Xxxx xxx Information Systems Xxxxxxx (CRISC), Certified Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (CISSP), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Metodologie x rámce xxxxxx xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx informační nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Auditor (XXXX), Certified Internal Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Control (XXXXX), Xxxx Auditor Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Lead Auditor XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx |
Tab. 5: Xxxxxx aktiva
|
Role: |
Garant xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost za xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx xxx xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Příloha č. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx uzavírané s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x bezpečnosti xxxxxxxxx (x pohledu důvěrnosti, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx o oprávnění xxxxxx data,
c) xxxxxxxxxx x autorství xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx a xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx řetězení dodavatelů, xxxxxxx xxxx být xxxxxxxxx, xx poddodavatelé xx zaváží xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx x xxxxxxxxxxx x xxxxxxx x xxxxxxx s xxxxxxxxx xxxxxxx xxxxx na xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx smluv x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou osobu x
1. kybernetických bezpečnostních xxxxxxxxxxx souvisejících s xxxxxxx smlouvy,
2. xxxxxxx xxxxxx rizik xx xxxxxx dodavatele x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx změně xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě změně xxxxxxxxx xxxxxxxx x xxxxxx aktivy, xxxxxxxxxxx xxxxx dodavatelem k xxxxxx podle xxxxxxx xx správcem,
j) specifikace xxxxxxxx z xxxxxxx xxxxxxxxxxx xxx ukončení xxxxxxx (například xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx xxx a xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx činností x souvislosti x xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx do xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx řízení xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx vyžádání xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) ustanovení x xxxxx jednostranně odstoupit xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx nad xxxxxxxxxxx xxxx změny xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx x
x) ustanovení x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x vyhlášce č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Informace
Právní xxxxxxx č. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Právní xxxxxxx x. 82/2018 Xx. xxx xxxxxx právním xxxxxxxxx č. 264/2025 Sb. x xxxxxxxxx xx 1.11.2025.
Znění xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. července 2016 x xxxxxxxxxx x zajištění xxxxxx xxxxxxxx úrovně bezpečnosti xxxx a xxxxxxxxxxxx xxxxxxx x Xxxx.